Ce groupe, également désigné sous des noms tels que "APT32" ou "Bismuth", est souvent considéré comme le bras cybernétique informel du gouvernement vietnamien, bien que les autorités n'aient jamais officialisé ce lien. Selon des experts en cybersécurité, cette association ne fait que souligner l'implication croissante de groupes comme Ocean Lotus dans des questions internes.
Au fil des ans, Ocean Lotus a été accusé de multiplies actes d'cyberespionnage ciblant des entreprises et des institutions sensibles. Une opération marquante a été rapportée par Bloomberg en avril 2020, révélant que le groupe avait tenté d'infiltrer le ministère chinois des Urgences pour obtenir des informations sur la pandémie de Covid-19.
En plus des opérations d'espionnage, Ocean Lotus a également été impliqué dans des activités de cybercriminalité. Kaspersky a mis en lumière, fin 2021, que le groupe utilisait le Google Play Store pour propager des logiciels malveillants, démontrant ainsi la diversité de ses stratégies.
Un changement de cibles
Des recherches menées par Volexity ont mis en avant la création de faux sites et pages Facebook visant à piéger des utilisateurs, confirmant la complexité croissante de leurs opérations. Or, récemment, une tendance marquante semble émerge: un recentrage sur des objectifs domestiques. Des campagnes utilisant un logiciel de porte dérobée, SPECTRALVIPER, auraient été lancées, ciblant des entreprises locales entre 2024 et 2026.
Selon ESET, cette nouvelle stratégie reflète un tournant important, marquant une priorité accrue sur le renseignement intérieur plutôt que sur des opérations à l'international. "Il est encore difficile de dire s'il s'agit d'un changement temporaire ou d'une direction durable", a déclaré un analyste de ESET, tout en soulignant la persistance d'une sophistication impressionnante dans les techniques employées. A la lumière de la guerre contre la corruption, orchestrée par le Parti communiste, les activités d'Ocean Lotus semblent désormais coïncider avec des enquêtes sur des affaires sensibles au Vietnam.»
Ce mouvement a pris de l'ampleur dans le cadre des mesures anti-corruption au Vietnam, visant à renforcer la légitimité du régime face aux dérives internes. Par exemple, l'affaire très médiatisée concernant Truong My Lan, condamnée pour fraude, a attiré l'attention de la presse internationale. Le fait que **Ocean Lotus** soit impliqué dans des attaques à ce moment-là soulève des interrogations sur ses objectifs actuels.
Des hackers au service de l'État ?
Analysés sous ce prisme, les recentrages d'Ocean Lotus pourraient témoigner d'une mobilisation des ressources de l'État pour surveiller la corruption et d'autres crimes économiques. Ces comportements renforcent l'idée que le groupe pourrait jouer un rôle de premier plan dans la réponse aux questions de corruption au Vietnam.
Cette hypothèse est corroborée par la révélation d'un risque accru de falsification dans les déclarations d'entreprises, révélée fin 2025 par les autorités. Ce contexte, couplé avec les activités de Ocean Lotus, suggère une possible interconnexion entre ces cyberattaques et les efforts de réformes économiques au sein du pays.
Les analystes de ESET concluent que la stratégie d'Ocean Lotus semble être un élément clé de l'effort contre la corruption et la criminalité financière actuelle. Loin des simples cybercriminels, ces hackers pourraient se retrouver dans la position intrigante de servir des objectifs plus vastes, notamment ceux de la gouvernance et de la transparence publique au Vietnam.
